@ILaeeeee

CentOS 7: как логгировать все сетевые подключения и трафик для выявления дыры?

Хао!

Суть: на вебсервере (VPS) появляется периодически вредоносный php скрипт на разных сайтах. Нужно: определить дыру.

Сначала думал что дыра в php приложении. Поставил mod_security для апача. Помониторил все HTTP запросы через log. Никаких дыр не обнаружил (ни через get, ни через post и т.д.). Скрипт появляется магическим образом.

Сканеры уязвимостей мне тоже ничего не дали (какими пользовался).

Посмотрел логи messages и secure в CentOS. Тоже ничего подозрительного не увидел.

Подумал, что если было бы нечто, что складывало бы все сетевые подключение с входящими данными в log, это мне бы помогло.
  • Вопрос задан
  • 101 просмотр
Решения вопроса 1
@ILaeeeee Автор вопроса
Tcpdump, Wireshark
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
@q2digger
никого не трогаю, починяю примус
если там приличный современный руткит, фиг вы его так найдете.
Скопрометированный сервер надо выводить из эксплуатации , отключать от сети и разбираться в его кишках. А на его место разворачивается новый. код сайтов заливается заново, с проверенного чистого бэкапа или где оно там хранится, из системы контроля версий.
Ответ написан
vvpoloskin
@vvpoloskin Куратор тега Сетевое администрирование
Инженер связи
Навряд ли вас ломанули каким-нибудь топовым руткитом, скорее всего обычный скриптовый вирус. Запретить все исходящие запросы типа new, для необходимого http трафика использовать прокси с логированием (можно даже сделать бесшовную, чтобы в клиентских приложениях ничего не настраивать).
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы